每个组织都需要开发自己的持续性流程来评估需求并证明安全支出的合理性。以下是两名首席信息安全官 (CISO) 对此给出的建议。
一个组织究竟应该在网络安全方面花费多少?答案很简单:根据具体情况而定。
影响组织具体花费的因素有很多,包括公司所从事的业务类型,其处理的个人或敏感数据或知识产权的类型,其面临的监管要求,其 IT 基础架构的复杂性,其成为恶意行为者攻击目标的可能性等等。
与 “一个组织应该在网络安全方面花费多少” 相比,一个更为重要的问题可能是:“一个组织应该如何确定需要在网络安全方面花费多少?” 企业组织通过开发持续性流程来确定适当的安全支出水平,对于有效保护系统和数据而言至关重要。
最近发布的一些研究报告展示了一些组织在安全方面的支出现状。CIO 网站于 2018 年 11 月针对全球 683 位 IT 高管进行的一项名为《2019 CIO状态调查》的报告显示,绝大多数受访者表示,IT 安全性支出只占据其公司IT总预算的 15%;近 1/4(23%)的受访组织将其 IT 总预算的 20% 或更多用于安全性方面。
调查还显示,企业规模似乎并不是一个重要的影响因素,因为就安全性占据 IT 总预算的份额而言,小型企业实际上与大型企业相差无几。而就行业而言,那些将预算的最高份额用于安全方面的行业主要有专业服务、金融服务和高科技领域。
当被问及 “2019年哪些业务计划将在推动其组织的 IT 投资中发挥最重要的作用” 时,40% 的 IT 主管表示需要增加网络安全保护。紧随其后的业务计划还包括提高响应的运营效率,改善客户体验,发展业务、改变现有业务流程以及提高盈利能力等等。
除此之外,根据 IDG Communications 对全球 664 名 “以安全为重点” 的专业人员进行的另一项调查显示,近 2/3 (60%) 的企业组织计划明年增加其安全预算,且平均增幅为 13%。
决定安全支出优先级的因素包括最佳实践 (74%),合规性授权 (69%),响应组织发生的安全事件 (35%),董事会授权 (33%),以及响应发生在另一个组织的安全事件 (29%)。
国际数据公司 (IDC) 的网络安全产品项目副总裁 Frank Dickson 表示,一般来说,组织应该将其 IT 预算的 7% 到 10% 用于安全方面。但是,如果您的基础架构非常复杂或受保护的资产极具价值,那么您也可以将预算份额提高至 15% 或更多。同样地,在某些情况下,5% 的预算份额也可能是合适的。
HITRUST(提供风险管理和安全服务的公司)首席信息安全官 Jason Taule 表示,在 HITRUST 公司,安全预算多年来一直保持稳定,这反映我们的领导团队始终致力于认真对待安全和隐私问题,同时保持着一个足够严谨的计划 “以解决公司自身面临的威胁以及合作伙伴和将数据托管在 HITRUST 的客户所面临的风险敞口。”
1. 提高运营效率可确保安全支出稳定
Taule 指出,“安全预算多年来一直保持稳定” 的事实可能有些误导。与大多数企业组织一样,我们仍然需要涵盖更广泛的威胁和风险敞口,但同时也要实现更高的运营效率。因此,为了保持预算稳定,这两方面需要相互协调。简单来说就是,如果不提高运营效率,支出将逐年增加。
2. 控制框架定义了政策和需求
为了帮助确定公司应该在安全方面花费多少,HITRUST 采用了一个控制框架来定义它需要实施的技术、管理和物理政策、程序以及亮点产品。
Taule 表示,我们还做了有关于持续监控的事情(这件事也是我们建议客户做的),并且已经实施了一些措施和指标来管理我们的安全计划。这里涉及到了管理问题,因为任何有关安全问题的决定都必须要有“反馈”,如此一来,组织才能够验证该决定是否实现了预期的效果,或是根据反馈信息和需求做出适当的调整。
3. 确定收益递减点
为了确定适当的支出水平,组织需要确定额外支出在降低风险方面所产生的边际收益(指增加一单位产品的销售所增加的收益,即最后一单位产品的售出所取得的收益)的程度。这是组织可以展示其尽职调查的关键点,因为得出的这个程度水平是经过精心推理且可辩护的。
4. 一些安全支出是强制性的
很少有组织能够奢望完全由自己来决定在哪些方面花多少钱,大多数企业组织都面临着各种监管要求、客户期望或是合作伙伴的特殊要求,这些因素都会产生一些额外的支出水平。
在某些情况下,至少在初始阶段,企业可能能够在其定价中反映出部分费用。但最终,除了最严格的要求,其他所有要求都将成为客户希望企业付出的商业成本。
有些组织可能比其他组织更重视安全和隐私问题,甚至可能选择将其作为与竞争对手区分的秘诀。因此,他们可能会选择在安全方面投入更多资金。
5. 进行重复性风险评估
在基本层面上,HITRUST 基于常规、定期和重复性风险评估回答了在安全方面花费多少的问题。如果是风险没有发生改变,那么我们就不需要调整支出。如果我们得出的结论是,我们面临的是超出我们接受能力的风险水平,那么我们就需要对支出情况进行调整。重要的是要强调,在安全方面花费多少的问题没有一成不变的答案。
科罗拉多州今年在安全方面的支出为 2150 万美元(约占 IT 总支出的 6%),高于 2018 年的 1270 万美元(约占 IT 总支出的 4%)。据科罗拉多州州长办公室首席信息安全官 Deborah Blyth 称,这是该州政府有史以来最大的安全预算增长。
1. 创建一个框架来衡量安全成熟度
一般来说,很难确定投入多少钱是足够的,以及适当的支出水平应该是多少。科罗拉多州采用了一个框架——20 大安全控制(20 Critical Security Controls),并根据该框架衡量安全成熟度。
然后,这种持续的成熟度评估被用于证明需要额外的资金,来实施额外的控制措施和子控制措施。如果资金阻碍我们全面实施这些子控制措施,我们可能会将其添加到预算请求中。诸如不断变化的机构需求和当前面临的威胁等因素也在我们的预算请求中。
2. 鉴于当前的威胁证实支出需求
例如,科罗拉多州交通部在 2018 年 2 月经历的安全事故严重影响了今年的预算请求。缺乏足够的资金推迟了必要的安全改进的实施,这些改进可以防止或减轻安全事件的影响,尽管这些努力已经进行了好多年。目前,科罗拉多州已经成功构建了业务案例并提高了其资金水平,以便在今年完成已确定的安全改进方案。
3. 将支出与同行组织进行比较
科罗拉多州还使用了国家首席信息官协会 (NASCIO) 每隔一年发布的一项研究,以了解其安全投资与其他州的比较情况。这项研究表明,各州投入了 6%-10% 的 IT 预算用于安全方面。
相关阅读